یک آسیبپذیری در افزونه Tooltips در وردپرس با شناسه CVE-2024-31285 و شدت بالا (7.1) کشف شده است. نقص امنیتی Cross-Site Request Forgery (CSRF) در این افزونه منجر به نقص امنیتی Stored XSS شده است.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L) بهرهبرداری از این آسیبپذیری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N). سوءاستفاده از این آسیبپذیری نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است (AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، و به تعامل با کاربر نیاز دارد(UI:R). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار است (S:C). با سوءاستفاده از این آسیبپذیری، هر سه ضلع امنیت با شدت کم تاثیر قرار میگیرد. (C:L/I:L/A:L)
محصولات تحت تأثیر
نسخههای پیش از 9.5.3 افزونه Tooltips تحت تاثیر نقص امنیتی مذکور قرار دارند.
منبع خبر:
https://www.cvedetails.com/cve/CVE-2024-31285/?q=CVE-2024-31285
- 29